一种私网用户对同侧私网设备访问的实现方法及系统的制作方法

专利名称：：一种私网用户对同侧私网设备访问的实现方法及系统的制作方法
技术领域：
：本发明涉及计算机网络通信领域的访问技术，尤其涉及一种网关下私网用户对同侧私网设备/>网化访问的实现方法及系统。
背景技术：
：随着互联网及其应用技术的不断发展，人们利用互联网可以开展越来越丰富的应用与服务。作为人们访问互联网的门户——网关，也越来越净皮普遍使用。网关的出现，就产生了网络的私用和公用之分；从而网络也就有了私网和公网之分。私网位于网关的内侧，是被网关所保护的网络环境。由于私网内部的组网信息;故网关屏蔽，因此这些信息是不4皮私网以外用户所知晓的，从而私网的网络安全性较高。而公网则相反，公网位于网关的外侧，由于公网的组网信息是开;^文的，因此为所有用户所知晓，/人而公网的网络安全性4交4氐。由于私网和/〉网的差别，越来越多的网络服务被安置在位于私网一侧的私网设备上，并提供给外界访问。一般的，为了解决私网网络信息的私密性问题，同时也满足私网上的网络服务设备的可访问要求，网络地址转换(NAT,NetworkAddressTranslation)技术被普遍使用。NAT技术是在网关上提供的技术，通过NAT技术，私网用户以外用户，也可以理解为公网用户通过访问网关提供的公网性的网络地址，就可以映射到网关内侧私网上提供服务的特定网络服务设备，从而实现私网设备的可访问性。目前网关上提供的NAT技术，普遍解决的组网场景包括私网设备，网关和公网用户，私网设备是提供服务的网络服务设备。该组网场景下的访问需求是公网用户实现私网设备的可访问性，其解决方案是公网用户通过网关提供的NAT技术，访问网关上的公网地址、或公网地址加服务端口，从而映射到对私网上的私网设备或该私网设备上提供的网络服务的访问。然而，以下的组网场景和需求，目前的网关产品还无法解决。组网场景包括私网用户、私网i殳备，网关和公网用户，该组网场景为私网访问公网再映射到私网的组网场景。该组网场景下的访问需求是私网用户实现对同侧私网设备的公网化访问。也就是说，位于私网上的私网用户想要访问位于同一网关内侧的相同私网设备或不同私网设备，以及相同私网设备或不同私网设备所提供的网络服务；而且，由于私网用户不知道该网络服务的私网地址信息、或者组网场景不允许私网用户绕开网关直接地访问私网设备，因此私网用户希望通过访问网关的公网来间接地访问到该私网设备。随着网络业务的普及和发展，这种私网访问公网再映射到私网的组网场景和访问需求将会越来越普遍，而对这种访问需求的解决，也越来越有实际意义和迫切性。
发明内容有鉴于此，本发明的主要目的在于提供一种私网用户对同侧私网设备访问的实现方法及系统，满足了私网用户实现对同侧私网设备公网化访问的需求，使位于私网的用户通过访问网关的7>网的方式实现对位于同侧私网设备的访问。为达到上述目的，本发明的技术方案是这样实现的一种私网用户对同侧私网i殳备访问的实现方法，该方法包括网关配置访问规则配置信息；所述访问规则配置信息包括私网用户通过访问所述网关的公网来实现访问同侧私网设备的信息；网关根据所述访问规则配置信息，控制所述私网用户实现对所述同侧私网设备的访问。其中，所述访问MJ'J配置信息的配置需求来源于用户和/或运营商。其中，所述网关配置访问规则配置信息具体包括主动将所述访问规则配置信息以配置文件的形式下发给所述网关，网关解析所述配置文件，获取访问规则配置信息并配置；或者，网关从用户和/或运营商处，被动获取访问规则配置信息并配置；或者，网关根据网络组网情况动态生成访问规则配置信息并配置。其中，所述访问规则配置信息进一步包括私网用户信息、公网信息和同侧私网设备信息；所述私网用户信息、所述公网信息、和所述同侧私网设备信息三者之间存在映射关系，所述映射关系的表现形式为标识映射关系的所有数据结构形式，包括表或数组。其中，所述私网用户信息为唯一标识所述私网用户的信息，包括私网用户的地址信息、或私网用户的接入设备信息；所述公网信息为唯一标识所述公网的公网信息，包括公网接入地址信息、息和端口信息；所述同侧私网设备信息为唯一标识所述私网设备或所述私网设备上所提供服务的信息，包括私网设备的地址信息、或私网设备上所提供服务的相关信息。其中，所述网关根据访问规则配置信息控制私网用户实现对所述同侧私网设备的访问具体为A、网关从所述私网用户获取访问报文，提取出所述访问报文中的有效信息，将所述有效信息与所述访问规则配置信息匹配；如果检索到匹配的访问规则配置信息，则4丸行B;否则，结束当前控制私网用户实现对同侧私网设备的访问；B、网关根据所述匹配的访问规则配置信息，通过网络地址转换NAT机制修改访问报文转发的地址信息，控制访问报文先转发到所述公网，然后再由公网转发到所述同侧私网设备。其中，所述有效信息为唯一标识所述访问报文的信息，包括所述访问报文的媒介访问控制地址信息、访问报文的源地址信息/目的地址信息、访问报文的接入设备信息、访问报文的动态主机配置协议中所携带配置信息的字段信息、或访问报文所访问的域名信息；所述访问报文为私网用户请求访问公网来实现访问同侧私网设备的访问报文。其中，步骤A中，所述有效信息中访问报文的源地址信息具体为私网用户的地址信息，目的地址信息为公网接入地址信息；所述匹配的访问规则配置信息具体包括私网用户的地址信息、公网接入地址信息、和私网设备的地址信息；则步骤B具体为Bl、路由前，通过NAT机制，网关将访问报文的目的地址信息修改为所述私网设备的地址信息；B2、通过路由机制，网关确定需将访问报文转发到同侧私网设备上；B3、路由后且转发访问报文前，通过NAT机制，网关将访问报文的源地址信息修改为所述公网接入地址信息；B4、通过路由机制，网关将修改源地址信息和目的地址信息后的访问报文转发到同侧私网设备上。其中，所述访问规则配置信息进一步根据组网方式以及业务方式进行更新；所述更新以静态方式手动更新或者以动态方式自动更新。一种私网用户对同侧私网设备访问的实现系统，该系统包括配置单元和控制单元；其中，配置单元，用于网关配置访问规则配置信息；控制单元，用于网关根据所述访问规则配置信息，控制私网用户实现对同側私网设备的访问。其中，所述配置单元，进一步用于主动将所述访问规则配置信息以配置文件的形式下发给所述网关，网关解析所述配置文件，获取访问规则配置信息并配置；或者，网关从用户和/或运营商处被动获取访问规则配置信息并配置；或者，网关根据网络组网情况动态生成访问规则配置信息并配置。本发明在网关配置并保存访问规则配置信息，该访问规则配置信息包括私网用户通过访问网关的公网来实现访问同侧私网设备的信息。网关根据该访问规则配置信息，控制私网用户实现对私网用户同侧私网设备的访问。由于本发明基于该访问规则配置信息，通过网关自身提供的NAT机制修改报文往返时的地址信息，控制私网用户的访问报文按照符合该访问规则配置信息的正确往返路径，通过网关自身提供的路由机制将报文先转发到公网，然后再由公网转发到私网用户同侧私网设备。其中，私网用户的访问报文为私网用户请求访问公网来实现访问同侧私网设备的访问报文。因此，采用本发明，根据网关上保存的访问规则配置信息，能控制私网用户请求实现访问同侧私网设备的报文按照正确的往返路径转发及传递，满足了私网用户实现对同侧私网设备公网化访问的需求，使位于私网的用户通过访问网关的公网的方式实现对位于同侧私网设备的访问。图1为本发明方法的实现流程示意图2为本发明所使用的组网场景一实例的组网结构示意图3为本发明一方法实施例的实现流程示意图。具体实施例方式本发明的基本思想是根据私网用户通过访问网关的公网来实现访问同侧私网设备的访问规则配置信息，网关控制并实现私网用户对私网用户同侧私网设备的访问。下面结合附图对技术方案的实施作进一步的详细描述。如图1所示，一种私网用户对同侧私网设备访问的实现方法，该方法包括以下步骤步骤101、网关初始化，并构建私网和公网的组网环境。这里，针对网关而言，该网关是私网与网关所接入外界的公网进行沟通的9唯一通道，即私网侧的所有私网用户和私网设备最终都通过该网关与公网沟通。针对位于网关内侧的私网而言，网关上提供至少一个私网接入点，正常情况下可以提供多个私网接入点，通过私网接入点私网侧的私网用户和私网设备接入网关。在私网接入点设置有网关为私网用户和私网设备所提供的私网地址信息；网关可以支持私网的多个子网划分功能；网关对外屏蔽私网的组网信息。针对位于网关外侧的公网而言，网关上可以建立至少一个接入外界的公网接入点，正常情况下可以提供多个公网接入点，公网接入点上设置有至少一个公网地址信息。网关自身提供路由转发机制实现报文的路由选择和转发。网关自身还提供NAT机制，可以实现报文的源地址信息与目的地址信息的地址转换功能。源地址信息可以为地址加端口格式的信息，目的地址信息也可以为地址加端口格式的4言息。其中，就私网侧的私网用户和私网设备而言，私网用户指任何可以工作于互联网的网络设备，是客户端/服务器模型中的客户端角色。私网设备指任何可以工作于互联网的网络设备，是客户端/服务器模型中的服务器角色。而且，私网用户和私网i殳备既可以位于同侧私网的同一子网下，又可以位于同侧私网的不同子网下。这里，所谓同侧私网指私网用户和私网设备都是通过同一个网关与网关所接入外界的公网相互联系的。私网用户不要求或者不可以直接访问私网设备；而且私网用户知道网关的公网地址信息，即私网用户想要或者必须通过访问网关的公网地址的方式才能访问到私网设备。步骤102、网关配置访问规则配置信息并保存在网关上；该访问规则配置备的信息。这里，步骤102中，网关配置访问规则配置信息的具体实现过程包括以下三种方式。第一种方式为用户和/或运营商主动将访问规则配置信息以配置文件的形式下发给网关，网关解析配置文件，获取访问规则配置信息并配置。第二种方式为网关通过网络从用户和/或运营商处被动荻取访问规则配置信息并10配置。第三种方式为网关根据网络组网情况动态生成访问规则配置信息并配置。其中，第三种方式中描述的组网情况指网关所处网络的组网情况，比如下挂的网络设备环境或网关上的路由信息等等。而网关根据网络组网情况动态生成访问规则配置信息的具体处理过程为网关通过其自身的动态主机配置协议(DHCP,DynamicHostConfigurationProtocol)JI艮务，可以知道下挂用户的用户信息，下挂设备的地址信息以及这些设备所能提供服务的能力信息。继而，网关据此可以将下挂用户与下挂设备进行关联。动态的制定或者调整对应的访问规则配置信息。这里，访问规则配置信息的配置需求来源于用户和/或运营商。这里，访问规则配置信息进一步包括私网用户信息、公网信息和私网设备信息；私网用户信息、公网信息、和私网设备信息这三者之间存在映射关系，映射关系的表现形式为标识映射关系的所有数据结构形式，包括表或数组。这里，私网用户信息为唯一标识所述私网用户的信息，包括私网用户的地址信息、或私网用户的接入设备信息。公网信息为唯一标识所述公网的公网信息，包括公网接入地址信息、或私网用户请求访问7>网来实现访问同侧私网设备的访问报文所使用的协议信息和端口信息。私网设备信息为唯一标识所述私网设备或所述私网设备上所提供服务的信息，包括私网设备的地址信息、或私网设备上所提供服务的相关信息。其中，私网设备上所提供服务的相关信息可以为该服务的协议信息和端口信息。步骤103、网关根据该访问规则配置信息，控制私网用户实现对私网用户同侧私网设备的访问。步骤103后还包括访问规则配置信息根据组网方式以及业务方式进行更新，更新以静态方式手动更新或者以动态方式自动更新；网关根据更新的访问规则配置信息，控制私网用户实现对私网用户同侧私网设备的访问。其中，当更新采用静态方式时，可以采用人工配置方式手动更新；当更新采用动态方式时，可以基于网络环境变化的自动更新。这里，基于网络环境变化的自动更新包括网络中设备的上线或下线所带来访问规则的添加或删除更新；网络中设备上的服务启用或终止所带来访问规则的内容更新等等。以上由步骤101~步骤103构成的技术方案中，步骤103的具体处理过程包括步骤1031、网关从私网用户获取访问报文，提取出访问^J:中的有效信息，将有效信息与访问规则配置信息匹配；如果检索到匹配的访问规则配置信息，则执行步骤1032;否则，结束当前控制私网用户实现对私网设备的访问。这里，该有效信息为唯一标识所述访问报文的信息，包括访问报文的媒介访问控制(MAC,MediaAccessControl)地址信息、访问寺艮文的源地址信息/目的地址信息、访问报文的接入设备信息、访问报文的DHCPOption的字段信息、或访问报文所访问的域名信息。其中，DHCPOption是动态主机配置协议中所携带的一组配置信息。而且，该访问报文为私网用户请求访问公网来实现访问同侧私网设备的访问报文。步骤1032、相应于检索到匹配的访问规则配置信息，通过网关自身提供的NAT机制修改访问报文转发的地址信息，网关控制访问报文根据检索到匹配的访问规则配置信息，先转发到y^网，然后再由公网转发到私网用户同侧的私网设备。这里，步骤1031中，当有效信息中访问报文的源地址信息具体为私网用户的地址信息，目的地址信息为公网接入地址信息；检索到匹配的访问规则配置信息包括私网用户的地址信息、公网接入地址信息、和私网设备的地址信息；则步骤1032具体为步骤10321、路由前，通过网关自身提供的NAT机制，网关将访问报文的目的地址信息修改为该匹g己的访问规则配置信息中的私网设备的地址信息。步骤10322、通过网关自身提供的路由机制，网关确定需将访问报文转发到私网i殳备上。步骤10323、路由后且转发访问报文前，通过网关自身提供的NAT机制，网关将访问报文的源地址信息修改为该匹配的访问规则配置信息中的公网接入地址信息。12步骤10324、通过网关自身提供的路由机制，网关将修改了源地址信息和目的地址信息后的访问报文转发到私网设备上。如图2所示为本发明所使用的组网场景的一实例的组网结构示意图，图2中，包括位于同侧私网的同一子网下的私网用户11和私网设备21，位于同侧私网的不同子网下的私网用户12和私网设备22，网关41和7>网61。公网即为互联网。而且，私网用户11和私网设备21都通过私网接入点31接入网关41;私网用户12通过私网接入点32接入网关41;私网设备22通过私网接入点33接入网关41。网关41接入7>网61,而且网关41上建立两个接入外界的公网接入点，分别以51和52标识。方法实施例参考图2所示的组网结构示意图，本方法实施例中，私网用户对同侧私网i殳备"^方问的实现流程如图3所示，包4舌以下步骤步骤201、网关41初始化，构建私网和公网61的组网环境。这里，通常在私网接入点设置有网关为私网用户和私网设备所提供的私网地址信息，在乂>网4妄入点上设置有至少一个公网地址信息。则当网关41初始化时，网关41启动，网关41接入所有的私网用户和私网设备；围绕网关41，网关41在所有公网接入点上建立公网地址信息，以及在所有私网接入点上建立私网地址信息，从而搭建好完备的私网和公网的组网环境。步骤202、网关41初始化完毕，建立起完备的组网环境后，按照用户或者运营商要求，在网关41上配置私网用户通过访问网关的/>网地址的方式从而可以访问私网设备的访问身见则配置信息。这里，访问规则配置信息可以为访问规则配置表，包含多个条目。后续网关获取私网用户的访问报文后，检索该访问规则配置表中的各个条目，如果检索到匹配的条目，则按照条目中的内容，通过NAT机制对访问报文的地址信息进行#~改。步骤203、私网用户ll发出访问报文。这里，该访问报文用于私网用户11访问网关41的公网接入点51的公网接入地址信息进而实现访问私网设备21。步骤204、访问规则配置表开始工作，检测步骤203发出的访问报文，通过提取访问报文中的有效信息，以便于筛选出私网用户11请求访问公网接入点51的公网接入地址信息进而实现访问私网设备21的访问报文。这里，该访问报文指原始访问报文，即刚刚进入网关的访问报文。这里，该访问报文的有效信息中包括该访问报文的源地址信息和该访问报文的目的地址信息。且该访问报文的源地址信息为私网用户11的地址信息；该访问报文的的目的地址信息为公网接入点51的公网接入地址信息。步骤205、检索访问规则配置表中的各个条目，并找到与该访问报文的有效信息相匹配的条目。步骤206、根据步骤205中所找到的匹配条目描述的访问规则配置，通过网关上的NAT机制，网关对访问报文的目的地址信息进行更改，且修改为匹配条目所描述的私网设备21的服务1的地址信息。这里需要指出的是，私网设备与私网设备所提供的服务是一对多的关系，即一个私网设备上可以提供多个服务。则如以下的表1所示为访问规则配置表的一个示例，访问规则配置表包括三项内容，这三项内容存在映射关系。表1中，由左至右，第一项内容为私网用户的地址信息；第二项内容为公网"t妾入地址信息；第三项内容为私网设备上所提供服务的地址信息。<table>tableseeoriginaldocumentpage14</column></row><table>表1步骤207、通过网关自身的路由机制，会决定该访问报文将会发往该私网设备21。步骤208、在决定了该访问报文的路由走向之后，以及该访问真正发送之前，再次根据步骤205中所找到的匹配条目描述的访问规则配置，通过网关上的NAT机制，f^改访问报文的源地址信息，且修改为匹配条目所描述的公网接入点51的公网接入地址信息。步骤209、将修改了源地址信息和目的地址信息后的访问报文，通过网关上的路由机制，发送到私网设备21。步骤210、后续的私网用户11与私网设备21之间的交互净艮文会继续依据步骤205中所找到的匹配条目描述的访问规则配置，以及网关上的NAT机制和路由才几制，进行才艮文地址更改和转发处理，乂人而实现私网用户ll通过访问网关41的公网接入点51的公网接入地址信息进而实现访问私网设备21上所提供服务的目的。需要指出的是，私网用户11访问除私网设备21以外的其他私网设备或私网设备上所提供的服务，以及私网用户21访问私网设备或私网设备上所提供的服务，都可以采用以上步骤201~步骤210构成的技术方案所揭示的技术原理进行处理，在此不做具体阐述。一种私网用户对同侧私网设备访问的实现系统，该系统包括配置单元和控制单元。其中，配置单元用于网关配置访问规则配置信息。控制单元与配置单元相连，控制单元用于网关根据访问规则配置信息，控制私网用户实现对私网同侧私网设备的访问。这里，配置单元，进一步用于主动将访问规则配置信息以配置文件的形式下发给网关，网关解析配置文件，获取访问规则配置信息并配置。或者网关从用户和/或运营商处#皮动获取访问规则配置信息并配置。或者网关根据网络组网情况动态生成访问规则配置信息并配置。以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。1权利要求1、一种私网用户对同侧私网设备访问的实现方法，其特征在于，该方法包括网关配置访问规则配置信息；所述访问规则配置信息包括私网用户通过访问所述网关的公网来实现访问同侧私网设备的信息；网关根据所述访问规则配置信息，控制所述私网用户实现对所述同侧私网设备的访问。2、根据权利要求1所述的方法，其特征在于，所述访问规则配置信息的配置需求来源于用户和/或运营商。3、根据权利要求1所述的方法，其特征在于，所述网关配置访问规则配置信息具体包括主动将所述访问规则配置信息以配置文件的形式下发给所述网关，网关解析所述配置文件，获取访问规则配置信息并配置；或者，网关从用户和/或运营商处，被动获取访问规则配置信息并配置；或者，网关根据网络組网情况动态生成访问规则配置信息并配置。4、根据权利要求1所述的方法，其特征在于，所述访问规则配置信息进一步包括私网用户信息、公网信息和同侧私网设备信息；所述私网用户信息、所述公网信息、和所述同侧私网设备信息三者之间存在映射关系，所述映射关系的表现形式为标识映射关系的所有数据结构形式，包括表或数组。5、根据权利要求4所述的方法，其特征在于，所述私网用户信息为唯一标识所述私网用户的信息，包括私网用户的地址信息、或私网用户的接入设备信息；所述公网信息为唯一标识所述公网的公网信息，包括公网接入地址信息、或私网用户请求访问公网来实现访问同侧私网设备的访问报文所使用的协议信息和端口信息；所述同侧私网设备信息为唯一标识所述私网设备或所述私网设备上所提供服务的信息，包括私网设备的地址信息、或私网设备上所提供服务的相关信息。6、根据权利要求1所述的方法，其特征在于，所述网关根据访问规则配置信息控制私网用户实现对所述同侧私网设备的访问具体为A、网关从所述私网用户获取访问报文，提取出所述访问报文中的有效信息，将所述有效信息与所述访问规则配置信息匹配；如果检索到匹配的访问规则配置信息，则执行B;否则，结束当前控制私网用户实现对同侧私网i殳备的访问；B、网关根据所述匹配的访问规则配置信息，通过网络地址转换NAT机制修改访问报文转发的地址信息，控制访问报文先转发到所述公网，然后再由公网转发到所述同侧私网设备。7、根据权利要求6所述的方法，其特征在于，所述有效信息为唯一标识所述访问报文的信息，包括所述访问报文的媒介访问控制地址信息、访问报文的源地址信息/目的地址信息、访问报文的接入设备信息、访问报文的动态主机配置协议中所携带配置信息的字段信息、或访问报文所访问的域名信息；所述访问报文为私网用户请求访问公网来实现访问同侧私网设备的访问报文。8、根据权利要求7所述的方法，其特征在于，步骤A中，所述有效信息中访问报文的源地址信息具体为私网用户的地址信息，目的地址信息为公网接入地址信息；所述匹配的访问规则配置信息具体包括私网用户的地址信息、公网接入地址信息、和私网设备的地址信息；则步骤B具体为B1、路由前，通过NAT机制，网关将访问报文的目的地址信息修改为所述私网设备的地址信息；B2、通过路由机制，网关确定需将访问报文转发到同侧私网设备上；B3、路由后且转发访问才艮文前，通过NAT才几制，网关将访问报文的源地址信息修改为所述公网接入地址信息；B4、通过路由机制，网关将修改源地址信息和目的地址信息后的访问报文转发到同侧私网设备上。9、根据权利要求1至8中任一项所述的方法，其特征在于，所述访问规则配置信息进一步根据组网方式以及业务方式进行更新；所述更新以静态方式手动更新或者以动态方式自动更新。10、一种私网用户对同侧私网设备访问的实现系统，其特征在于，该系统包括配置单元和控制单元；其中，配置单元，用于网关配置访问规则配置信息；控制单元，用于网关根据所述访问规则配置信息，控制私网用户实现对同侧私网设备的访问。11、根据权利要求IO所述的系统，其特征在于，所述配置单元，进一步用于主动将所述访问规则配置信息以配置文件的形式下发给所述网关，网关解析所述配置文件，获fU方问MJ'J配置信息并配置；或者，网关从用户和/或运营商处被动获取访问规则配置信息并配置；或者，网关根据网络组网情况动态生成访问规则配置信息并配置。全文摘要本发明公开了一种私网用户对同侧私网设备访问的实现方法，该方法包括网关配置访问规则配置信息；访问规则配置信息包括私网用户通过访问网关的公网来实现访问同侧私网设备的信息；网关根据访问规则配置信息，控制私网用户实现对私网设备的访问。本发明还公开了一种私网用户对同侧私网设备访问的实现系统，该系统包括配置单元和控制单元；其中，配置单元，用于网关配置访问规则配置信息；控制单元，用于网关根据访问规则配置信息，控制私网用户实现对同侧私网设备的访问。采用本发明的方法及系统，满足了私网用户实现对同侧私网设备公网化访问的需求。文档编号H04L29/06GK101483657SQ20091007970公开日2009年7月15日申请日期2009年3月6日优先权日2009年3月6日发明者伟蒋申请人:中兴通讯股份有限公司